Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 93, views: 27.550 •

De ddos-aanvallen op de banken van afgelopen weken waren mogelijk omdat banken zich slecht beveiligd hadden tegen dergelijke aanvallen. "Het is een schande dat de Nederlandse banken op deze pijnlijke manier van hun fouten moeten leren."

DdosDoor de ddos-aanvallen waren de diensten van de banken, zoals het inzien van het saldo en het doen van betalingen, tijdelijk niet beschikbaar voor klanten. De gevolgen hadden veel minder groot kunnen zijn, zegt Eurocommissaris Neelie Kroes volgens De Telegraaf. "Dit soort aanvallen is niet nieuw, maar de banken hebben hun kop in het zand gestoken en gedacht: we lossen het zelf wel eventjes op. En nu moesten we allemaal op de blaren zitten."

Naast de banken legt Kroes een deel van de schuld ook bij de Nederlandse overheid. "Ook de Nederlandse overheid heeft in haar ogen te lang achterover geleund en gedacht: 'dit is niet mijn pakkie-an'". Alle grote Nederlandse banken gingen afgelopen weken kortere of langere tijd plat door ddos-aanvallen. Eerst waren dat ING, ABN Amro en betalingsmethode iDeal, daarna volgden de Rabobank en SNS. De banken beloofden daarop samen te werken door informatie over de aanvallen te delen. Kroes zegt dat het EU-agentschap Enisa is opgericht om digitale aanvallen tegen te gaan. Wie er achter de aanvallen op de banken zit, is nog altijd onduidelijk.

Reacties (93)

Reactiefilter:-193084+167+211+30
Erg kort door de bocht ! > DDOS aanvallen kun je jezelf niet volledig tegen beveiligen (althans tegen de enorm grote aantallen van 800.000 + die bijvoorbeeld ING heeft gehad)

Wat ik overigens wel een raar verhaal vind is dat er bij de ING problemen waren met de weergave van het saldo.. hoewel het in theorie het gevolg kan zijn geweest van maatregelen die getroffen waren tegen de aanvallen , vind ik het een wel een beetje verdacht!

Iets zegt mij dat er mogelijk ook een "echte" hackpoging is geweest (dus geen aanval , maar een digitale inbraak) die geslaagd is of dat er intern een grote blunder is gemaakt (o.i.d.)

Ik ga niet zo ver dat ik zeg dat het betalingsverkeer in gevaar is geweest > maar ik heb wel het gevoel dat er meer is gebeurd dan word gezegd! ..

Als ik puur naar de stelling van Neelie Kroes kijk dan vind ik het (wat betreft de DDOS) gewoon een "ik roep maar wat" opmerking.

Gebruiker: Martao maakt wat dat betreft hieronder een goede vergelijking met dijken.

Een gat in de dijk is een blunder en een extra hoge verstevigde dijk is een goede maatregel, echter als er een enorme tsunami komt maakt het niet meer uit welk type dijk je hebt!

[Reactie gewijzigd door Donster op 19 april 2013 17:55]

Alles kan. ING hecht blijkbaar meer waarde aan kostenreductie dan proper risicobeheersing om dit soort aanvallen grotendeels af te slaan. Je wilt niet weten wat voor troepinfrastructuur ING heeft overgenomen van de Postbank. Ze zijn al jaren bezig met allerlei projecten die constant problemen veroorzaken. Je kan een drol in de roomboter bakken, het blijft alsnog een drol. En met die drol bedoel ik de erfenis van de Postbank infrastructuur.
Nee, je kan niet 2-3x je systeem over dimensioneren. Dat is natuurlijk onzin.

Je kan je beter voor bereiden zodat de overlast slechts van korte duur is. Maar je beveiligen lijkt me niet.
Waarom kan dat niet? Dat iets economisch niet haalbaar is betekend niet dat het technisch onmogelijk is.
Een ketting is zo sterk als de zwakste schakel.

En de zwakste schakel is op dit moment toch echt de overheid die niet goed toezicht houd. Als overheid zijnde zou je allang zelf een paar van die aanvallen uitvoeren om te kijken of die banken wel een beetje bij de tijd zijn. En dat is prima te verantwoorden aangezien je helemaal niet zo veel apparatuur nodig hebt om die uit te voeren, maar wat net zo belangrijk is, is het feit dat het van primair belang is. We weten niet wat er gebeurt tijdens een dergelijke blackout, wat we wel weten is dat we als samenleving in de buidel moeten tasten als er geld weg is bij de bank.

De overheid faalt in toezicht en erkenning.

Een wijzend vingertje is wat mij betreft te makkelijk.
Wat heeft de Overheid in godsnaam te maken met de IT beveiliging van een particulier bedrijf!?

De overheid moet zich zo ver mogelijk houden hiervan. De overheid heeft een regelgeving taak, geen taak in IT advies. Het is erg genoeg dat het nodig is voor de overheid om in te grijpen als het financieel fout gaat bij banken maar laten we alsjeblieft zorgen dat het niet verder gaat dan dat!

Gaan we de overheid er ook bij slepen als de website van Philips plat ligt? Da's toch ook een groot bedrijf? Of gaat de overheid voortaan ook dicteren hoe de Hema hun kluis moet beveiligen?

Nee. Nelie zit er wat dat betreft faliekant naast. De overheid heeft hier in het geheel niets mee te maken! En als het aan mij ligt gaan ze er ook nooit wat mee te maken krijgen.
Op zich kan ik me er nog wel in vinden dat de overheid zich ermee moet bemoeien. Zo'n beetje elke Nederlander heeft wel een bankrekening (i.t.t. producten van Philips) die regelmatig geraadpleegd wordt (nog een verschil).

Echter lijkt het me geen goed idee als de overheid advies gaat geven. Laat ze maar lekker een boete ertegenaan gooien. Binnen de zakelijke wereld wordt zoiets toch eerder meegenomen in het kostenplaatje. Wellicht dat er dan meer budget is voor de beveiliging.
Bijna iedere Nederlander heeft een televisie.
Bijna iedere Nederlander heeft een auto.
Gaan we dan ook bij de televisiefabrikanten en de autohandelaren boetes uitdelen? Dat is nu namelijk wat je zegt: Als maar genoeg mensen het hebben moet de overheid optreden.

Ik zie geen enkele meerwaarde in overheidsbemoeienis bij particuliere bedrijven. Zeker niet als het gaat om gebieden waar de overheid zelf keer op keer bewijst geen flauw benul te hebben. Als de overheid boetes gaat uitdelen omdat banken zich niet beveiligd hebben tegen DDOS is dat alleen maar meer bewijs dat de overheid geen flauw benul heeft.
Je kunt internet beter vergelijken met elektriciteitsvoorziening, het is zo ongeveer onmisbaar geworden, en helaas, dan moet de overheid ook regels / eisen gaan stellen.

Bedrijven kijken alleen maar naar kosten baten en stellen zichzelf NIET aansprakelijk, zoals de banken ook al hebben gedaan toen IDEAL plat lag. Konden ze niets aan doen, niet aansprakelijk voor gevolgen, etc. etc.
Ze (= de banken) zijn zelf notabene de grote drijfveer voor het elektronische verkeer, is namelijk een enorme kostenbesparing (geweest).

Een DDOS aanal is niet vergelijkbaar met een Tsunami, eerder met een heftige storm.
Als de AMS-IX plat ligt oid, dan pas kun je het overmacht noemen of vergelijken met een Tsunami.
De overheid stelt eisen, via de DNB, aan banken. Ook de grote payment providers (swift, creditcard bedrijven etc.) stellen eisen aan banken op het gebied van software, hardware en infrastructuur. Aan de eisen ligt het echt niet. Het is de invulling van de eisen en het structureel de kantjes ervanaf lopen met gladde praatjes die ervoor zorgen dat dit soort situaties kunnen ontstaan. Ik kan het weten, ik was er deel van...
Gezien de context van de ING bank: onder curatele bij de staat + 20% van het personeel moet eruit, is het niet zo gek dat ze niet 365 dagen per jaar 24/7 anti-DDoS hot standby hadden staan ... want het gebeurde immers maar sporadisch.

Nu is alles anders, maar ik durf te wedden dat alle security nerds hiervoor allang gewaarschuwd hebben en het management het budget niet kon/wilde tekenen/verantwoorden. Wat niet zo heel gek is, als je nooit op dergelijke schaal onder vuur gelegen hebt.

Niet dat ik het goed wil praten, maar begrijpelijk is het wel na jaren bezuinigingen op bezuinigingen.

PS: Dit is gewoon een goede les voor politic & bestuurders: digitaal terrorisme is dagelijkse kost en zal steeds meer impact krijgen.

[Reactie gewijzigd door SKiLLa op 20 april 2013 22:46]

bankrekening is voor veel zaken verplicht, een auto en televisie niet, om zaken met de overheid te kunnen doen.
Als de weg defect is wie is er dan aansprakelijk voor steen slag?
wie repareert de weg ? wie regelt de snel heden? wie is er belast met orde handhaving en dat burgers de wet na leven?
Als je alles digitaal moet invullen als burger worden we verplicht internet te gebruiken aan gezien iedereen in nederland online is wordt het een taak van de overheid dit te beschermen en controleren. internet fraude pakt de politie aan en ze hebben een cyber task force.

natuurlijk kun je wel wat doen aan een DDOS aan vallen. google maar eens rond gewoonhttp://www.blockdos.net/
tevens moet de overheid gewoon meer van die bodnets op rollen
en meer doen om er voor te zorgen dat nederland virus vrij wordt
laat ze een contract sluiten met een virus scan maataschappij dat elke nederlander lid wordt bij hun en via burger service nummer krijg software voor je computer . Tevens alle computers in nederland blokkeren die niet virus vrij zijn en deel uit maken van een bot net. gewoon mail naar de providers dit IP die tijd heeft een virus dus verbinding kill en laat ze eerst maar eens schoon worden met een anti virus programma als die dan bevestigt dat de pc schoon is dan pas weer online
zelfde geld voor de hoosting bedrijven server gehacked IP adres offline
geen gehoor hele IP adres lijst black list
Het is kei hard maar dat is de enige manier om mensen te dwingen virus software te installeren , web servers up to date te houden en dergelijke. het is gewoon diep triest hoe veel mensen in nederland niet eens de moeite nemen om zich in hun pc te verdiepen en een simpel anti virus pakket te installeren.
Ik zou het heel leuk en fijn vinden als Nederland virusvrij zou worden. Maar ik denk niet dat dat veel zoden aan de dijk zou zetten.

De grootste oorzaak van de botnets ligt volgens mij toch in pc's met Windows versies die niet meer worden ondersteund. (dit is een educated guess)

De vraag is dan: hoe los je dit op?

Edit: typo

[Reactie gewijzigd door 505261 op 19 april 2013 21:30]

Nou wil ik niet claimen dat de overheid een goede raadgever wat betreft IT, maar in dit geval zouden ze wel wat strenger mogen optreden.

Banken zijn namelijk niet "zomaar" en particulier bedrijf, maar min of meer een nuts voorziening. Probeer maar eens deel te nemen aan het maatschappelijk verkeer zonder een bankrekening te hebben. Gaat je namelijk niet lukken.

Daarom worden al die banken ook gered en genationaliseerd, ze zijn 'too big too fail' en een staat kan niet zonder banken (wat voor mij gelijk een reden is om geen commerciele bank toe te staan).

Daarnaast is de website van een bank ook niet zomaar een site, maar (in deze tijd) hun primaire dienstverlening. Zonder dat kan je niet betalen/pinnen zoals we hebben gezien. Iets wat direct invloed heeft op de economie: iets wat wel een staatsaangelegenheid is.

Of denk je dat een Ahold of Philips ook gered zal worden met belastinggeld? Ze zullen zich er wel tegen aan bemoeien ivm uitkeringen/werkgelegenheid maar niet overnemen. Dat zie je ook in het buitenland: banken worden wel genationaliseerd en een bedrijf als Saab kan het schudden.
@ Croga,
Of je verstand hebt van IT kan ik niet over oordelen en zal ik ook niets over zeggen.
Maar als je geen verstand hebt van monetaire zaken, dan moet je zwijgen.
Een bezoekje aan wikipedia doet wonderen.
Dat je ook nog eens andere bedrijven erbij haalt om je gelijk te halen, is puur appels met peren vergelijken.
Het is ook gewoon economisch haalbaar hoor. Of dacht je soms dat Micosoft en Microsoft nooit last hebben van DDOS aanvallen.

Voor Nederlandse banken is het zelfs nog eenvoudiger omdat je gewoon op basis van geografische informatie van een IP kunnen bepalen of het een Nederlands, Europees of 'Wereldwijd' IP betreft. Vervolgens kun je een ratio van 6-3-1 aanhouden.

Nederlandse computers zijn over het algemeen goed beveiligd. Dat maakt het erg lastig om enkele honderd duizenden besmette systemen in Nederland te vinden om zo'n ddos aanval vol te kunnen houden.

De meeste gebruikte methode om DDOS aanvallen te filteren is het gebruik van 1 hoofd data centers welke niet direct benaderbaar is en twee (of meer) frontend data center welke het verkeer intern router naar de master servers. Sterk vervoudigd kun je het een beetje zien als een loadbalance proxy oplossing.

Amakai is een van de grootste aanbieders van dit soort oplossingen. Een aantal jaren geleden konden hackers namelijk wel Windows update zeer sterk vertragen. Niet veel later is Microsoft ook voor Windows update gaan samenwerken met Amakai.

IT beveiliging bij banken heeft simpelweg geen prioriteit. Dat is nu niet alleen zichtbaar bij deze DDOS aanvallen, maar ook de hoeveelheid beveiligings problemen welke banken in het algemeen hebben met hun websites.. En nu ze moeite hebben hun hoofd boven water te houden, is er ook geen geld om de benodigde investeringen te doen.
Volgens mij bedoel je Akamai en niet amakai ;)
@Niemand_anders: Je slaat de plank toch mis. Zeker geen +2 waard naar mijn idee.
een loadbalance proxy:
Het probleem waarover hier gediscussieerd wordt is vrijwel, eigenlijk niet, op te lossen door de bank c.q. Technologie van de bank zelf.

Bij alle reacties hierboven mis ik dan ook de technische kennis over dit onderwerp.
DDoS aanvallen veroorzaken grote drukte over de internetverbinding naar de bank.
Of deze nu 1of 3 geloadbalance-te datacenters heeft doet niet ter zake.

De internetpijp is letterlijk een flessenhals. Als er aan het begin ervan meer verkeer wordt aangeboden dan de pijp dik is krijg je en opstopping.
Misschien minder snel bij een 1gb/s link, of wellicht (meerdere?) 10gb links: zolang de dataaanvoer door 800.000+ pc wordt verzorgd is er geen houden aan.
Dat(!) verklaard dan ook, dat welke apparatuur aan het einde van de lijn dan ook, niks meer kan uithalen

Ps1. Ik zie het helaas de komende jaren nog niet gebeuren dat alle grote Exhanges van deze wereld, dit type verkeer (spam, virussen, DDOS) gaan blokken.
Reden: netneutraliteit.
De kip en het ei probleem
PS2. Xs4all gooit je link dicht als je virussen verspreidt....

[Reactie gewijzigd door GMJansen op 21 april 2013 00:54]

Dat kan niet omdat wij dat niet willen. Wanneer je dit doet wordt jou rekening ipv een paar 50 euro per jaar ofzo ineens 250 euro per jaar. Dat heeft niemand er voor over.
Zeker wel mogelijk...

En zeker voor banken vind ik dat ze dit moeten, laat ze anders maar failliet gaan...

als het een webshop was die bloemen verkoopt is het wat anders...
maar je mag een bank toch wel serieus nemen?
Be careful what you wish for...
Een bank die failliet gaat geeft heel veel sh*t. Het gebeuren rondom 'de crisis' is hier wel een heel goed voorbeeld van.

Als ze de bij grove wanprestaties de top eruit schoppen en laten vervangen door mensen die bekwamer zijn, dan lijkt mij dat een betere oplossing. Het zijn immers deze mensen die de koers bepalen. Een baliemedewerker (om maar iets te noemen) hoeft daar van mij niet onder te lijden.
Ieder mens in de wereld maakt morele keuzes. Mensen die er voor kiezen te werken bij een bank zijn niet onschuldig. Ze werken mee aan de totstandkoming en continuering van producten en diensten van de bank. En een bank is een bedrijf met winstoogmerk en heeft aandeelhouders.

Ik snap niet dat mensen hier praten over nut en noodzaak van banken en hoe we niet zonder ze kunnen, terwijl daar geen argumenten voor gegeven worden. Axiomatisch denken overheerst als het gaat om banken.

Niemand zou het normaal vinden als de overheid de buurt supermarkt redt van een faillissement. Terwijl dat ook gewoon een bedrijf is net als een bank. Echter als het gaat om banken, dan redt de overheid ze wel omdat ze zo belangrijk zijn.

Ik praat vaak over hoe gevaarlijk het is als je een bepaalde actie vereenzelvigt met een bedrijfsnaam, zoals 'googlen'. Dat er gevolgen zitten aan corporatisme dat zich nestelt in de hoofden van gebruikers.

Met banken gaat het net zo. Het zijn ondernemingen met winstoogmerk en hebben zich in een positie weten te manoeuvreren door de eeuwen heen dat ze 'niet meer weg te denken zijn'.

Maar besef eens wat die phrase betekent. Dat betekent dat hoe je je gedachten ook stuurt of op welke manier je ook denkt, je komt steeds tot de conclusie dat ze er zijn om te blijven.

Niet zo lang geleden kregen mensen loonzakjes. Toen had men ook geen bankrekening nodig om je salaris op te ontvangen. Jullie jongeren denken vaak dat de wereld zoals die nu is beter af is en dat bepaalde zaken lang, lang geleden waren.

Banken zijn veel minder noodzakelijk dan je zou denken. En bovendien is het een keuze die de samenleving maken kan. Maar we laten ons aldoor leiden door onze gemakzucht en angst. Een loonzakje vereist vervoer van contant geld, dat levert gevaar op voor overvallen.

Maar mijn vader ging elke morgen naar zijn werk met duizenden guldens in zijn tas want hij deed de loonadministratie. Op dit moment speculeert het MKB over de 'cashless society'. Al dat contante geld is gevaarlijk, vinden ze. Er zijn overvallen op winkels! Op dezelfde manier dat jullie vaders een bankrekening namen als om risico's met contant geld te vermijden, zouden jullie akkoord gaan met een contantloze maatschappij. En jullie kinderen zullen nooit vermoeden, zoals jullie niet denken over loonzakjes, dat het ooit anders was en misschien beter. Die kids kennen geen enkele privacy meer wat betreft hun aankopen.

En het is aan de generaties van nu om een weloverwogen keuze te maken of we zo'n samenleving willen. En in generaties voor ons hebben consumenten nooit echt overwogen of het nu wel zo'[n goed idee was om het loonzakje af te schaffen en banken meer macht te geven, meer invloed op onze levens. En daarvoor hebben mensen zich nooit effectief verzet tegen banken, die door de eeuwen heen steeds belangrijker werden.

Wij staan gelaten toe dat banken, corporaties en bedrijven steeds opnieuwe nieuwigheden introduceren die allereerst onze gemakzucht bevredigen, of dat nu een op- en af rekening was bij de bank of een app of je smart phone anno 2013 maakt niet uit. We worden beinvloedm verleid en gemanipuleerd om akkoord te gaan en het gevolg, zo blijkt, is dat we privacy verliezen, de overheid steeds meer profileert en controle en inzicht krijgt in onze privélevens en dat we blijkbaar ook min of meer stilzwijgend akkoord gaan met alles wat ICT ons mee verlokt.

Is het niet zo dat de bankencrisis veroorzaakt werd door handel in in stukjes geknipte waardeloze hypotheken en door het aanbieden van allerlei financiële producten? Is het niet zo dat mensen ind e problemen kwamen, veel te veel betaalden en dat er jarenlang gevochten is om mensen te compenseren vanwege de laakbare manier van werken van banken?

Het lijkt allemaal zo handig, die banken. En we hebben het gevoel dat we niet zonder kunnen. Maar veel van wat banken doen is niet nodig en het hele Fractional Reserve Banking systeem is immoreel.

Een bank is een onderneming met winstoogmerk, en we staan het ze toe om immoreel te handelen en hun de positie te gunnen dat ze misbaar zijn. Niets is onmisbaar, de situatie zoals die is is het gevolg van het niet maken van morele keuzes als volk, als samenleving. Wij hebben de macht om dingen te veranderen, maar er is geen bank die openlijk zal toegeven dat ze misbaar zijn.

We worden vanaf onze geboorte geindoctrineerd met geld, er zijn spelletjes die ons leren met geld om te gaan en de bank wordt daarbij niet miskent. Je spaarcentjes gaan naar de bank, zo vertellen pappa en mamma en opa en oma. Als kind kreeg ik een 'Zilvervloot rekening'. We zijn allemaal slachtoffer van het feit van het niet bewust omgaan met wat een samenleving is en kan.

Vertel mij nooit dat banken onmisbaar zijn.
Vertel mij nooit dat banken onmisbaar zijn.
Banken zijn net zo onmisbaar als gas, elektriciteit, internet, winkels etc..
Natuurlijk kunnen we zonder, maar het is verdomd onhandig en feitelijk een stap terug in de tijd...
Open your eyes :)

Banken wil je juist zo snel mogelijk kwijt hebben uit de samenleving. Verdiep je eens in de wanpraktijken die ze tot de dag van vandaag uitvoeren. Of denk je dat de crisis zomaar is aan komen waaien?

Het enige wat een bank wil is zo veel mogelijk geld van je "aftroggelen" dat vind jij onmisbaar? Of gaat de wereld alleen maar om huizen kopen en zo veel mogelijk geld op de bank hebben? (helaas wel) Onhandig is het zeker, onmisbaar? nee
Nee, je kan niet 2-3x je systeem over dimensioneren. Dat is natuurlijk onzin.
Het systeem van t.net is 3x overgedimensioneerd. En blijft waarschijnlijk alsnog draaien (alhoewel met mindere 'kwaliteit') als 5/6e van de webservers uitvalt.

reviews: Tweakers' serverpark anno 2013

Hoezo 2-3x je systeem overdimensioneren is onzin? Als je servers bij normale piekload al op 100% lopen te stampen, dan doe je iets grondig fout.
@phion : Neelie Kroes is wel goed in open deuren intrappen. Sommige banken hebben hun beveiliging beter op orde en zijn (vooralsnog) beter bestand tegen deze DDoS aanvallen. Zo viel de overlast bij de Rabobank reuze mee; ik heb er zelf niks van gemerkt. Dat iDeal er uit ligt is dan wel weer vervelend.

Wat die spreekwoordelijke drol aangaat heb je absoluut gelijk; je kunt van een drol geen moorkop maken. Je kan er hoogstens wat slagroom op spuiten maar je blijft het toch proeven :-)
"DDOS aanvallen kun je jezelf niet volledig tegen beveiligen (althans tegen de enorm grote aantallen van 800.000 + die bijvoorbeeld ING heeft gehad)" Dat kan bijvoorbeeld door je aan te melden op een service zoals cloudflare: https://www.cloudflare.com/features-security

[Reactie gewijzigd door NelsonK op 19 april 2013 20:57]

Wel weer lekker in lijn met het soort uitspraken die we van Neelie gewend zijn.
Elke keer als haar naam ergens opduikt hoop ik nog op een zinvolle opmerking, helaas.
Net als met haar 4g ontwikkel rush, dr lag nog een pot geld die op moest.
Vraag me echt af wanneer zij haarzelf nou uit haar lijden verlost en gewoon met pensioen gaat.

DDOS is volgens mij ook niet volledig te voorkomen tenzij je de deur dicht doet en er niks te deny'en valt. Maar met een dichte deur kunnen de klanten er ook niet meer in.
True. Alsof zij weet hoe je je als bank zijnde moet beschermen tegen ddos. Waarschijnlijk vraagt ze gewoon aan haar informant: Zeg, zo'n ddos, kun je je daar tegen beschermen? Als je dan "Ja" of "Nee" moet antwoorden, dan is het een Ja, en zo komt haar reactie tot stand :P Lekker kort door de bocht.

En het enige wat de overheid ermee te maken heeft is dat zij er een team cybercrime op kunnen zetten. Wat waarschijnlijk ook wel gebeurt, maar dat hoeven wij allemaal niet te weten. En of die er wat mee kunnen is ook maar de vraag. Ga al die IP adresjes maar eens uitpluizen...
dat is toch neit helemaal waar, er zijn dingen die je ertegen kan doen.
ik wilde een tweakers.net artikel citeren maar kan hem helaas niet vinden,
dit ging over tweakers.net welke zelf geDDOS'd werd en wat ze er daarna aan hebben gedaan.

natuurlijk is een bank lastiger, en groter etc.
maar er kan wat aan gedaan worden,

dat gezegd ben ik het wel met je eens dat dit wel erg kort door de bocht is van Kroes.
en het feit dat niemand weet wie deze aanvallen uitvoert dat vind ik erg ongeloofwaardig,
traceer de IP's vind een van de PC's en ga graven, dat kan niet te moeilijk zijn.
waarschijnlijk weten ze het al, maar willen ze dat nog niet bekend maken,
of het is inderdaad wel erg triest gesteld met de beveiliging/politie/geheime diensten
dat gezegd ben ik het wel met je eens dat dit wel erg kort door de bocht is van Kroes.
en het feit dat niemand weet wie deze aanvallen uitvoert dat vind ik erg ongeloofwaardig,
traceer de IP's vind een van de PC's en ga graven, dat kan niet te moeilijk zijn.
LOL... ik denk toch dat je je daar een beetje heel erg op verkijkt.

Het gaat natuurlijk niet om een paar losse IP-adressen, maar minimaal honderdduizenden, mogelijk vele miljoenen, afhankelijk van de grootte van de botnets die gebruikt worden.

En die IP-adressen zijn dus in principe onschuldig, in de meeste gevallen zullen de gebruikers niet eens weten dat ze lid zijn van een botnet.

Dan zal je dus degenen moeten opsporen die de botnets aanstuurt, en je kan er vergif op innemen dat die via één of waarschijnlijk zelfs meerdere proxies zitten te werken. Succes om dat uit te zoeken, zeker als het een proxy in een land betreft waar men weinig tot geen middelen/kennis/bereidheid heeft om dit soort dingen te onderzoeken....
Er zijn manieren om de schade te beperken van een DDOS aanval. Maar in feite is het gewoon een geval van voldoende resources hebben. Zolang je genoeg capaciteit hebt op je bandbreedte of CPU of whatever het doelwit is, is er geen probleem. Pas als deze overbelast zijn krijg je filevorming en ontstaan de problemen. Bekijk het als filevorming op de snelweg. Vanaf een bepaald punt staat het verkeer gewoon stil. Je kan dan wel de capaciteit van de weg gaan uitbreiden, maar op een bepaald moment is dat economisch niet meer haalbaar.

En neen, het is zeker niet altijd mogelijk om de bron te vinden. Zulke aanvallen worden vaak uitgevoerd door botnets. Dan moet je eerst het botnet al op het spoor komen, dan zien te achterhalen waar de command&control servers zijn en dan moet je van daar nog verder kunnen geraken tot bij de beheerders die echt wel slim genoeg zullen zijn om niet van bij hun thuis rechtstreeks te verbinden met die c&c server.
En dat valt dus wel mee. Je kunt jezelf zeer effectief tegen een DDOS beschermen. Je hebt berdijven die hierin gespecialieerd zijn. Zulke bedrijven hebben een wereldwijd netwerk van systemen met een enorme netwerk capaciteit (heb zelf wel eens met mensen van Prolexic gepraat, die claimen een 800Gb/s aan bandbreedte te kunnen inzetten).
Je sluit een contract af met zo'n bedrijf. Op het moment dat je geraakt wordt door een DDOS wordt razendsnel al het verkeer omgeleid naar hun systemen. Zij filteren dan het rotte verkeer eruit en sturen de rest door. Uiteraard zijn er wel verstoringen, maar de hele operatie is binnen enkele minuten uitgevoerd.
De meeste grote en kleine banken hebben zulke contracten. Snap niet zo goed dat de Nederlandse grote banken dat niet hebben. Daar mogen ze wat mij betreft stevig voor op de vingers getikt worden.
Het is niet zo zwart-wit dat
A ) Nederlandse banken geheel geen gebruik maken van dergelijke services;
B ) Dergelijke oplossingen heilige gralen zijn.

Bedrijven als Prolexic (maar ook bv Verisign of andere) bieden inderdaad dit soort opties. Maar ook de capaciteit aldaar is beperkt.

We beginnen al maar doordat die 800 Gb/sec misschien wel beschikbaar is, maar niet per klant en waarschijnlijk ook niet per datacenter. Effectief betekent dit dat een "scrubbing center" (zo noem je de filter die jij benoemt) evenwel overbelast kan raken. Dit kan gebeuren als veel klanten bij dezelfde DDos-mitigatiedienst tegelijk een aanval ervaren, of als veel aanvallen op dezelfde hub plaatsvinden.

Als wereldwijd 800 Gb/sec beschikbaar is, maar de hub in Amsterdam bijvoorbeeld maar 50 aan kan, dan kan ook dat (relatief) snel vollopen.

Daarnaast is het zo dat je verkeer routeren via een andere partij, mogelijkerwijs extra problemen met zich meebrengt. Denk aan verstoring van dienstverlening. Bijvoorbeeld als nu een deel extern staat en een deel niet. Handig, nee, maar soms wel de praktijk. Het kan ervoor zorgen dat je sneller het gebruik van zo'n dienst op moet zeggen dan je zou willen.

Ook is het zo dat je wellicht niet ALLE onderdelen van de infrastructuur extern kan en wil plaatsen, wat maakt dat bepaalde onderdelen nog steeds gevoelig zijn.

Tot slot is dit vanzelfsprekend een dure oplossing, waar je dus niet constant gebruik van wilt maken.

Don't get me wrong: ik zeg niet dat de banken alles op orde hadden en dit theoretisch niet voorkomen had kunnen worden. Het is immers ook zo dat de meest recente aanvallen een stuk beter worden afgeslagen dan eerdere aanvallen. Maar je doet het nu overkomen alsof alle banken met twee vingers in de neus hebben gezeten.

[Reactie gewijzigd door Eagle Creek op 19 april 2013 21:34]

Je maakt een paar goeie punten. Maar, ik heb het idee dat bij grote aanvallen verschillende botnets gebruikt worden, verspreid over de hele wereld. Deze aanvallen worden dan op verschillende locaties gefilterd.

Je kunt, zelfs als grote bank, dit soort faciliteiten niet zelf hosten. Het gaat immers niet zo zeer om de hardware maar om de bandbreedte die je tot je beschikking hebt. Dus, er hangt inderdaad een stevig prijskaartje aan.

De banken hebben natuurlijk niet zitten afwachten maar de maatregelen die ze getroffen hebben zijjn duidelijk niet afdoende geweest. Ik heb het sterke vermoeden dat de kosten van dergelijke diensten als te hoog werden beschouwd. Ben benieuwd hoe men er nu over denkt bij ING, Rabo, ...
Ik vind dit wel interessant en heb er de afgelopen weken het een en ander over gelezen op Ars Technica (maar ik heb er zelf dus weinig verstand van).

Maar heeft dat in dit geval zin?

Bronnen:
http://arstechnica.com/se...-sure-just-not-all-of-it/
http://arstechnica.com/se...nternet-threatening-size/

Deze artikelen hebben betrekking op de recentelijke Spamhaus Ddos attacks. Daar werd beschreven hoe de diensten van het bedrijf Cloudflare hielpen om de boel in de lucht te houden. Dit deden zij o.a. door het gebruik van Anycasting:
"Anycast allows servers with the same IP address to coexist simultaneously around the globe. Internet providers will generally route traffic to the geographically nearest instance of those anycasted IP addresses." (Bron: Ars Technica). Dit zorgt er in theorie voor (als de Ddos attacks niet uit 1 regio komen, maar via een geografisch verspreid botnet oid) dat een Ddos aanval 'verwaterd' wordt doordat zij verschillende servers op verschillende geografische locaties targetten.

Als prolexic deze technologie ook gebruikt, dan kunnen zij misschien wel totaal 800GB/s inzetten, maar dat zal dan verdeeld zijn over verschillende locaties, waardoor dat alleen werkt als de Ddos zelf ook geografisch verspreid wordt uitgevoerd?

Daarnaast neem ik aan dat betaalverkeer et cetera niet zomaar via verschillende locaties uitgevoerd kan worden, maar een link vereist met een (centraal)systeem van de bank. In dat geval is geografisch verspreidde hosting ook geen goede oplossing?

Zoals ik al zei, ik heb er weinig verstand van, maar er afgelopen weken wel wat interessante dingen over gelezen, dus als dit niet klopt of er zijn andere oplossingen, dan hoor ik het graag (inclusief links graag = leesvoer :) )
Erg kort door de bocht ! > DDOS aanvallen kun je jezelf niet volledig tegen beveiligen (althans tegen de enorm grote aantallen van 800.000 + die bijvoorbeeld ING heeft gehad)
Dat kan prima hoor, zal even x aantal minuten kosten maar je kan dat vrij snel afslaan en daarna zou het botnetwerk aanval moeten aanpassen of anders heeft de aanval geen effect meer. ING doet dat nu dus ook, binnen half uur kunnen ze nu wel aanval afslaan.

Mensen die denken dat je niks tegen ddos kan doen kunnen beter eerste even gaan inlezen voordat ze iets napraten van andere.

[Reactie gewijzigd door mad_max234 op 19 april 2013 17:56]

Alles hangt af van het type aanval en de hoeveelheid bots dat er achter zitten. Als Nederlandse bank kan je bijvoorbeeld zeggen dat je upstream alle trafiek gaat blokkeren die vanuit het buitenland komt, dat kan bij zo een aanval enorm helpen, maar dan sluit je wel weer klanten uit.

Stellen dat je elke DDOS aanval zonder problemen kan afslaan is even kort door de bocht als stellen dat het helemaal niet kan.
Geoblocking lijkt leuk tot men op grote schaal geldige (binnenlandse) IP's gaat spoofen. Het is een beetje als je SSID niet uitzenden. Lijkt leuk maar omzeilt is omzeilt.
Dan nog houdt die niet alles tegen zoals je kan lezen in de test-resultaten (pagina's 8 en 9), en kan er dus nog steeds een downtime, of op zijn minst sterk verminderde performance, optreden.

Hooguit duurt de downtime/performancedip korter doordat de applicance de zaak offload, maar een garantie dat je onkwetsbaar bent bij een DDOS is het zeer zeker niet.
Er is gewoon hardware bechikbaar die dit tegen kan gaan de kosten zijn ongeveer 20k voor een simple hardware oplossing. Het problem alleen is dat je iemand nodig heb die ermee overweg kan gaan. Wat veel voorkomt is tijdelijk laat we zeggen 4 dagen een ip adres blokkeren ook kan mijn kijken welke aanval ze gebruiken en die plat leggen door de filters af te stellen. Er zijn oplossingen beschikbaar die je online kan vinden en gaan tot 100 Gb/gb/GB (weet even niet welke groter is) kosten wel als je prijzen vindt is het alleen maar voor de simpelste oplossingen.
Wat ik overigens wel een raar verhaal vind is dat er bij de ING problemen waren met de weergave van het saldo.. hoewel het in theorie het gevolg kan zijn geweest van maatregelen die getroffen waren tegen de aanvallen , vind ik het een wel een beetje verdacht!

Ik vroeg me dat ook af in een eerdere discussie, maar werd toen gecorrigeerd met de melding dat dat een 'gewone' storing was en niets met de DoS aanvallen te maken heeft. Beide traden echter kort na elkaar op, zodat ik (en anderen) ten onrechte dachten dat het om hetzelfde incident ging.


Overigens is tegen een goed opgezetten DoS zo goed als niets te doen. Immers er is weinig tot geen verschil tussen 10M klanten die gelijk inloggen en 10M spyware botnets die dat doen. Goed, via heuristics kun je soms onderscheid maken, maar het blijft moeilijk.

Wat je wel gevoelig maakt is een krappe capaciteit. Immers vorig jaar was er een grote aanval op Amazon. Die faalde omdat de Amazon servers zo bizar veel capaciteit hadden dat het DoS botnet niet genmoeg request wist te genereren om de capaciteit te overtreffen _/-\o_

De Nederlandse banken hebben waarschijnlijk een relatief kleine capaciteit omdat Nederland een klein land is, hetgeen ze een makkelijk doelwit is.

Waar weinig aandacht aan besteed is is de oorsprong van de DoS aanvallen. Immers dit zijn zo goed als altijd botnets, ofwel met malware besmette computers van nietsvermoedende particulieren, bedrijven en overheden. Kennelijk zijn er nu al enkele weken grote botnets actief die aan de aandacht kunnen ontsnappen ...

Dat feit vind ik veel zorgwekkender.
Meestal komt dit omdat het return adres in de pakketjes van de geinfecteerde machine gespoofed zijn.
De geinfecteerde machine heeft immers niets aan het antwoord van het slachtoffer.
Het zal de aanvaller dan ook worst wezen of en wat er word teruggestuurd door het slachtoffer zolang als er maar verkeer gegenereerd word..
Is er al wat bekend over de grootte van de aanvallen? Banken moeten voorbereid zijn op dit soort aanvallen, maar als er echt tientallen gb/s op je afgevuurd worden zal een enkeling bestand zijn om zo'n aanval af te slaan.

De kritiek van Kroes is aan de ene kant terecht, er moet wat gebeuren. Maar is het de banken/overheid volledig aan te rekenen?
Maar is het de banken/overheid volledig aan te rekenen?
Nee. Wat je ook doet, dit soort aanvallen zullen altijd mogelijk blijven.
Ietwat offtopic, maar toch... De VS heeft de deur zoveel mogelijk dichtgetrokken na 11/9, en zie wat er nu in Boston gebeurt. En dat met al hun informatiediensten, databases, afluisteren, Echelon, noem maar op.
Niets is waterdicht. Wat ze zouden kunnen doen is hetzelfde als Spamhaus, die kregen ze ook niet (helemaal) plat, vele servers door de hele wereld. Maar dan staan onze gegevens in landen die we eigenlijk geen inzage zouden willen geven in de gegevens.
Dus wat overblijft is het beste doen dat economisch mogelijk is, en nog klantvriendelijk blijft.
Ja eerste klap zal systeem plat leggen maar dan begint de tegenaanval die mits goed word uitgevoerd de aanval vrij rap kunnen blokkeren.

Om eerste klap op te vangen heb je capaciteit nodig, om tegenaanval in te zetten heb je goed algoritme nodig die data te analyseert en pakketjes die bij de aanval gebruikt worden te blokkeren. Dat tweede lijken ze nu redelijk voor elkaar te hebben.

[Reactie gewijzigd door mad_max234 op 19 april 2013 18:02]

Erg kort door de bocht, Neelie moet zich even inlezen in wat een DDOS precies inhoud en daarna mag ze commentaar geven. DDOS van tientallen GB's zijn nu eenmaal nooit goed tegen te houden. Ik vind dat de banken het nog snel hebben opgepakt.
Een bank kan zich wel beveiligen dat die kl..z.kk..n niet binnen kunnen dringen. Mevrouw Kroes en haar heel goed betaalde collegae moeten maar eens eindelijk wereldwijde wetten maken waarmee deze mensen eens echt gestraft worden, en geen werkstraffen van 20 uur.
Maar :
a) kom er eens achter wie het gedaan heeft;
b) probeer ze maar eens te vervolgen in, het soort landen waar dit soort mensen vaak vandaan komen.

Er is wel een oplossing voor een van de onderliggende problemen, en dat is providers te dwingen om klanten die in een botnet zitten af te sluiten, en desnoods de IP-ranges van niet-meewerkende providers uit wat van de belangrijkste routers te smijten. Daarmee bereik je dat de mensen die vinden dat ze hun systemen niet hoeven te beveiligen gedwongen gaan worden dit toch te doen.
Ja duh, daarvoor heb je dus internationale afspraken(wetten) voor nodig, alles is te achterhalen op internet mits je maar toegang hebt tot alle data. Maar daar zit het probleem ISP hebben rechten, sommige landen werken niet mee, met gevolg dat kwaadwillende zo goed als vrij spel hebben.

Maar in principe kan je van A na B gewoon volgen mits je alle servers kan bemachtigen, en ook TOR servers(en verwanten) gaan je dan ook niet helpen, ja nu wel omdat niet bij alle servers kunnen en node geen data opslaat(maar kan node wel gebruiken om TOR te hacken met man in middle aanval), maar zou dat wel mogelijk zijn kan je je nergens meer verschuilen op je zolderkamertje.
Als de ip adressen van de pakketjes gespoofed zijn begin je niets.
Dus nee je kan niet simpel zeggen van A naar B gewoon volgen.

Als ik jou een pakketje stuur met als afzender het ip adres van mijn buurman die ook op UPC zit (of iig in hetzelfde subnet) .. wat dan.. ga je dan mijn buurman beschuldigen van malafide praktijken?

Als je verkeer wilt terug volgen naar de bron moet er natuurlijk wel een bron bestaan.
Normaliter zou dit wel het geval zijn omdat je tweeweg communicatie nodig hebt om iets voor elkaar te krijgen..
Aangezien dit fire-and-forget pakettjes zijn (de verzender is niet geintresseerd in het antwoord) zul je nagenoeg nooit een weg terug vinden..
Tja, weet Kroes waar ze het over heeft? Ik heb mijn twijfels.

Het lijkt mij dat je gevolgen kan minimaliseren. Maar er geldt net zoiets als voor overstromingen. Dijken houden nooit alles tegen. Er is daarvoor dus een afspraak gemaakt wat voor stormen ze moeten tegen houden (stormen die voorkomen eens in de X jaar). Alle beveiliging daar boven is economisch niet rendabel, simpelweg omdat het veel kost en praktisch niks oplevert.

Nu is het zeker mogelijk dat de verdediging van de banken ondermaats is, maar ik betwijfel of er echt betaalbereidheid is voor het inrichten op grote aanvallen. In mijn opinie is er bij elke set-up een DDoS aanval mogelijk, alleen wordt ook die moeilijker/duurder. Mijns inziens wil je zorgen dat je kwajongens tegen kan gaan, maar tegen serieuze aanvallen wordt het meer een zaak van politie (criminelen) of zelfs de AIVD (terroristen). Je kunt wel enorme investeringen doen, maar ik betwijfel of de consument of de webshops daar voor willen betalen. Er wordt nu al geklaagd dat betaalsystemen te duur zijn. (PayPal, credit cards...)

Ik zou graag een verhoogde investering in signalering en opsporing zien. Al ben ik geen kenner, dus misschien overschat ik de haalbaarheid daarvan.
Ik heb het idee dat Kroes betere dingen kan roepen dan Teeven, op de gebieden waar beide portefeuilles elkaar overlappen.
ddos defendertje van Checkpoint ervoor Neelie...komt allemaal goed ;)

Maar inderdaad...erg schandalig dat hier eigenlijk niet eerder in is geïnvesteerd. Op 1 of andere manier blijkt maar weer dat dit soort organisaties altijd achter de feiten aanloopt. Dat zelfde geldt voor AntiBotnet beveiliging binnen overheidsinstanties....
Wellicht waren het de bots bij deze instanties die de banken aan het ddossen waren :P

*zucht*...
Wanneer ziet men nu onderhand eens in, dat het online gaan ook gevaren met zicht meebrengt en dat je je daar tegen moet weren met ietsje meer investering dan enkel een firewall, ipv dat typische "m" na de "m" verhaal.
Een DDos aanval gebeurt met Botnets.
Die bestaan uit met virussen infected PC's van gewone gebruikers.
Als de gewone gebruikers nu eens goed antivirus software zouden gebruiken zouden er veel minder botnets zijn.

MAW Het is niet de banken die een beveiligings probleem hebben het zijn de gewone gerbuikers.
omg het lijkt wel alsof iemand een penetration test op Nederland aan het uitvoeren is..
Jammer dat de term 'beveiliging' hier weer wordt gebruikt. Zo gaan de mensen die er geen verstand van hebben gelijk weer denken dat het iets met login gegevens te maken heeft. Kunnen termen zoals 'Voorbereiding' en 'Preventie maatregelen' niet wat meer gebruikt worden?
Mevrouw Kroes heeft slechte adviseurs. Ik zou het Internet willen vergelijken, met een spoorweg netwerk. Op bepaalde punten, zoals in Amsterdam bij Sloterdijk, zitten onze Nederlandse aansluitpunten op het internationale Internet, die zich via glasvezel lijnen, langs de spoorwegen vertakken. Lijkt mij dat niet elk datacentre zich zou moeten beveiligen met te dure apparatuur en software, maar dat men op deze knooppunten, de juiste acties moeten ondernemen. Single point of failure c.q. control!
Met zo'n opzet, zijn buitenlandse botnet's makkelijk en snel af te vangen. Binnenlandse is natuurlijk een ander verhaal.
Dus eerst maar eens meten waar alles vandaan komt. Ik heb veel gewerkt met e-Trust Forensics van CA en daar kwamen prachtige overzichten uit over het totale internet verbruik per ip adres, of per protocol of ip port!
Lijkt mij dat alles al gemonitord wordt, Liberty Global (UPC) is Amerikaans en zit op Sloterdijk, dus die zitten er bovenop en sniffen zich mogelijk al versuft. Of beheerd de overheid deze knoop punten???

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013